Amer Hasanović
netfilter kernel modul implementira koncept
firewall-a.iptables aplikacija omogućava konfiguraciju
netfilter modula i definiciju pravila za
filtriranje.
PREROUTINGINPUTFORWARDOUTPUTPOSTROUTINGfilter - za donošenje odluka o blokadi ili propuštanju
paketa.nat - za implementaciju koncepta translacije adresa i
portova.mangle - za izmjenu zaglavlja paketa na različite
načine.filter.iptables -I INPUT -s 198.51.100.0 -j DROP
iptables -I INPUT -p udp --dport 6881 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --destination-ports 22,25,53,80,443,465,5222,5269,5280,8999:9003 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.5 -j DROP
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPTNAT je improvizacija putem koje je omogućeno da
IPV4 adresni prostor funkcioniše sa manjkom javnih
IP adresa.NAT narušava direktnu vezu između bilo koja dva čvora
na Internet-u (end to end connectivity), koja je ključna originalna
pretpostavka za optimalanu funkciju IP protokola.NAT se implementira putem routera koji služi kao
posrednik između privatnog i javnog IP adresnog
prostora.IP
prostoru.NAT mora modificirati adrese
izvorišta i destinacije za pakete kao i portove.(iIP, iPort) <-> (eIP, ePort)iptables koristi
nat tabelu u POSTROUTING lancu i to sa
SNAT i MASQUARADE targetim-a.iptables koristi
nat tabelu u PREROUTING lancu i to sa
DNAT target-om.IPV6 je mrežni protokol namjenjen da otkloni niz
nedostataka IPV4 protokola.
IPV4.IPV4 enkapsulira se u L2
okvire.IPV4 paketu, često uz promjenjeno ime polja.MTU IPV6 paketa je
1280b.IPV6 paketi se ne mogu fragmentirati od strane
router-a.IPV6
paketu je 44.128-bitne.8-grupa od po
16 bita koje su međusobno razdvojene sa karakterom
:.IPV6 adresa.0 unutar grupe se mogu
izostaviti.0 se može kompletna
izostaviti.
2001:db8:aaaa:0001:0000:0000:0000:01002001:db8:aaaa:1:0:0:0:1002001:db8:aaaa:1::100InterfaceID se može generirati automatski i zato se
koriste dvije šeme:
EUI-64 šema.EUI-64 šema formira InterfaceID na osnovu
MAC adrese.fe80::/64, npr.:
fe80::8ef8:e5e2:c477:16ae/64fe80::481d:70ff:fe6f:9503/64MLD (Multicast
Listener Discovery) protokola.ff02::1 - nodovi,ff02::2 - routeri,ff02::5 - OSPFv3 SPF routeri,ff02::6 - OSPFv3 DR routeri,ff02::9 - RIP routeri,ff02::a - EIGRP routeri,ff02::d - PIM routeri,ff02::16 - Svi MLDv2 routeri,ff02::1:2 - DHCP serveri,ff02::fb - Multicast DNS.ff02:1 grupe, svaki interfejs je član
Solicited-node multicast grupe i to za svaku
IP adresu koja je dodijeljena interfejsu.
ff02::1:ff00:0/10424 bita iz IP adrese.IPV6 multicast grupa se mapira u adekvatnu Ethernet
grupu na L2 sloju.33-33-xx-xx-xx-xx rezervirane su za
multicast grupe.IPV6 multicast
adrese.MLD snooping mogu
asocirati svoje portove sa multicast adresama.